关于 macOS Catalina 10.15.1、安全性更新 2019-001 以及安全性更新 2019-006 的安全性内容
本文介绍了 macOS Catalina 10.15.1、安全性更新 2019-001 以及安全性更新 2019-006 的安全性内容。
关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。
macOS Catalina 10.15.1、安全性更新 2019-001、安全性更新 2019-006
Accounts
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15
影响:远程攻击者或许能够泄漏内存
描述:已通过改进输入验证解决越界读取问题。
CVE-2019-8787: Steffen Klee of Secure Mobile Networking Lab at Technische Universität Darmstadt
Accounts
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:在“所有人”模式下,“隔空投送”传输可能会被意外接受
描述:已通过改进验证解决逻辑问题。
CVE-2019-8796: Allison Husain of UC Berkeley
AirDrop
适用于:macOS Catalina 10.15
影响:在“所有人”模式下,“隔空投送”传输可能会被意外接受
描述:已通过改进验证解决逻辑问题。
CVE-2019-8796: Allison Husain of UC Berkeley
AMD
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8748: Lilang Wu and Moony Li of TrendMicro Mobile Security Research Team
apache_mod_php
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:PHP 中存在多个问题
描述:已通过更新至 PHP 版本 7.3.8 解决多个问题。
CVE-2019-11041
CVE-2019-11042
APFS
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进状态管理解决内存损坏问题。
CVE-2019-8824: Mac working with Trend Micro's Zero Day Initiative
App Store
适用于:macOS Catalina 10.15
影响:本地攻击者或许能够在没有有效凭证的情况下登录以前曾登录过的用户的帐户。
描述:已通过改进状态管理解决认证问题。
CVE-2019-8803:Kiyeon An,차민규 (CHA Minkyu)
AppleGraphicsControl
适用于:macOS Catalina 10.15
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2019-8817:Arash Tohidi
AppleGraphicsControl
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8716: Zhiyi Zhang of Codesafe Team of Legendsec at Qi'anxin Group, Zhuo Liang of Qihoo 360 Vulcan Team
Associated Domains
适用于:macOS Catalina 10.15
影响:URL 处理不当可能会导致数据泄露
描述:解析 URL 时存在问题。已通过改进输入验证解决这个问题。
CVE-2019-8788: Juha Lindstedt of Pakastin, Mirko Tanania, Rauli Rikama of Zero Keyboard Ltd
Audio
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:处理恶意制作的音频文件可能会导致任意代码执行
描述:已通过改进状态管理解决内存损坏问题。
CVE-2019-8706: Yu Zhou of Ant-financial Light-Year Security Lab
Audio
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8785: Ian Beer of Google Project Zero
CVE-2019-8797: 08Tc3wBB working with SSD Secure Disclosure
Audio
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:处理恶意制作的音频文件可能会泄露受限内存
描述:已通过改进输入验证解决越界读取问题。
CVE-2019-8850: Anonymous working with Trend Micro Zero Day Initiative
Books
适用于:macOS Catalina 10.15
影响:解析恶意制作的 iBooks 文件可能会导致用户信息泄露
描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。
CVE-2019-8789: Gertjan Franken of imec-DistriNet, KU Leuven
Contacts
适用于:macOS Catalina 10.15
影响:处理恶意制作的联系人信息可能会导致 UI 欺诈问题
描述:已通过改进状态管理解决用户界面不一致问题。
CVE-2017-7152:Thinking Objects GmbH (to.com) 的 Oliver Paukstadt
CoreAudio
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:播放恶意音频文件可能会导致任意代码执行
描述:已通过改进输入验证解决内存损坏问题。
CVE-2019-8592: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
CoreAudio
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:处理恶意制作的影片可能会导致进程内存泄露
描述:已通过改进验证解决内存损坏问题。
CVE-2019-8705: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
CoreMedia
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:处理恶意制作的网页内容可能会导致任意代码执行
描述:已通过改进状态管理解决内存损坏问题。
CVE-2019-8825: Found by GWP-ASan in Google Chrome
CUPS
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:拥有特权网络地位的攻击者或许能够泄露敏感用户信息
描述:已通过改进输入验证解决输入验证问题。
CVE-2019-8736: Pawel Gocyla of ING Tech Poland (ingtechpoland.com)
CUPS
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:处理恶意制作的字符串可能会导致堆损坏
描述:已通过改进内存处理解决内存消耗问题。
CVE-2019-8767:Stephen Zeisberg
CUPS
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:拥有特权地位的攻击者或许能够发动拒绝服务攻击
描述:已通过改进验证解决服务遭拒问题。
CVE-2019-8737: Pawel Gocyla of ING Tech Poland (ingtechpoland.com)
File Quarantine
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:恶意应用程序或许能够提升权限
描述:已通过移除易受攻击的代码解决这个问题。
CVE-2019-8509: CodeColorist of Ant-Financial LightYear Labs
File System Events
适用于:macOS High Sierra 10.13.6、macOS Catalina 10.15
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8798: ABC Research s.r.o. working with Trend Micro's Zero Day Initiative
Foundation
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:远程攻击者可能会导致应用程序意外终止或任意代码执行
描述:已通过改进输入验证解决越界读取问题。
CVE-2019-8746:Google Project Zero 的 natashenka 和 Samuel Groß
Graphics
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:处理恶意着色器可能会导致应用程序意外终止或任意代码执行
描述:已通过改进输入验证解决多个内存损坏问题。
CVE-2018-12152: Piotr Bania of Cisco Talos
CVE-2018-12153: Piotr Bania of Cisco Talos
CVE-2018-12154: Piotr Bania of Cisco Talos
Graphics Driver
适用于:macOS Catalina 10.15
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8784:Webinar, LLC 的 Vasiliy Vasilyev 和 Ilya Finogeev
Intel Graphics Driver
适用于:macOS Catalina 10.15
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8807: Yu Wang of Didi Research America
IOGraphics
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:本地用户或许能够导致系统意外终止或读取内核内存
描述:已通过改进边界检查解决越界读取问题。
CVE-2019-8759: another of 360 Nirvan Team
iTunes
适用于:macOS Catalina 10.15
影响:在不受信任的目录中运行 iTunes 安装器可能会导致任意代码执行
描述:iTunes 设置中存在动态资料库载入问题。已通过改进路径搜索解决这个问题。
CVE-2019-8801: Hou JingYi (@hjy79425575) of Qihoo 360 CERT
Kernel
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进状态管理解决内存损坏问题。
CVE-2019-8709:derrek (@derrekr6) derrek (@derrekr6)
Kernel
适用于:macOS Catalina 10.15
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2019-8794: 08Tc3wBB working with SSD Secure Disclosure
Kernel
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8717: Jann Horn of Google Project Zero
CVE-2019-8786: Wen Xu of Georgia Tech, Microsoft Offensive Security Research Intern
Kernel
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:恶意应用程序或许能够确定内核内存布局
描述:处理 IPv6 数据包时存在内存损坏问题。已通过改进内存管理解决这个问题。
CVE-2019-8744: Zhuo Liang of Qihoo 360 Vulcan Team
Kernel
适用于:macOS Catalina 10.15
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进锁定解决内存损坏漏洞问题。
CVE-2019-8829: Jann Horn of Google Project Zero
libxml2
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:libxml2 中存在多个问题
描述:已通过改进输入验证解决多个内存损坏问题。
CVE-2019-8749: found by OSS-Fuzz
CVE-2019-8756: found by OSS-Fuzz
libxslt
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:libxslt 中存在多个问题
描述:已通过改进输入验证解决多个内存损坏问题。
CVE-2019-8750:由 OSS-Fuzz 发现
manpages
适用于:macOS High Sierra 10.13.6、macOS Catalina 10.15
影响:某个恶意应用程序可能会获得根权限
描述:已通过改进逻辑解决验证问题。
CVE-2019-8802:Csaba Fitzl (@theevilbit)
PDFKit
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:攻击者或许能够泄露加密 PDF 的内容
描述:处理加密 PDF 中的链接时存在问题。已通过添加确认提示解决这个问题。
CVE-2019-8772: Jens Müller of Ruhr University Bochum, Fabian Ising of FH Münster University of Applied Sciences, Vladislav Mladenov of Ruhr University Bochum, Christian Mainka of Ruhr University Bochum, Sebastian Schinzel of FH Münster University of Applied Sciences, and Jörg Schwenk of Ruhr University Bochum
PluginKit
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:本地用户或许能够查看任意文件是否存在
描述:已通过改进访问限制解决逻辑问题。
CVE-2019-8708: an anonymous researcher
PluginKit
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8715: an anonymous researcher
Screen Sharing Server
适用于:macOS Catalina 10.15
影响:共享屏幕的用户可能无法结束屏幕共享
描述:已通过改进状态管理解决逻辑问题。
CVE-2019-8858: Saul van der Bijl of Saul’s Place Counseling B.V.
System Extensions
适用于:macOS Catalina 10.15
影响:应用程序或许能够以系统权限执行任意代码
描述:授权验证中存在验证问题。已通过改进对进程授权的验证解决这个问题。
CVE-2019-8805: Scott Knight (@sdotknight) of VMware Carbon Black TAU
UIFoundation
适用于:macOS Catalina 10.15
影响:恶意 HTML 文稿或许能够使用敏感用户信息来填充 iframe
描述:“iframe”元素存在跨源问题。已通过改进对安全源的跟踪解决了这个问题。
CVE-2019-8754: Renee Trisberg of SpectX
UIFoundation
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:处理恶意制作的文本文件可能会导致任意代码执行
描述:已通过改进边界检查解决缓冲区溢出问题。
CVE-2019-8745: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
UIFoundation
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8831: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
UIFoundation
适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6
影响:解析恶意制作的文本文件可能会导致用户信息泄露
描述:已通过改进检查解决这个问题。
CVE-2019-8761: Renee Trisberg of SpectX
Wi-Fi
适用于:macOS Catalina 10.15
影响:Wi-Fi 覆盖范围内的攻击者或许能够查看少量网络流量
描述:处理状态过渡时存在逻辑问题。已通过改进状态管理解决这个问题。
CVE-2019-15126: Milos Cermak at ESET
其他表彰
CFNetwork
由衷感谢 Google 的 Lily Chen 为我们提供的协助。
Find My
由衷感谢 Amr Elseehy 为我们提供的协助。
Kernel
由衷感谢 Google Project Zero 的 Brandon Azad、Swisscom CSIRT 的 Daniel Roethlisberger、Google Project Zero 的 Jann Horn 为我们提供的协助。
libresolv
由衷感谢 Google 的 enh 为我们提供的协助。
Local Authentication
由衷感谢 Ryan Lopopolo 为我们提供的协助。
mDNSResponder
由衷感谢 e.solutions GmbH 的 Gregor Lang 为我们提供的协助。
Postfix
由衷感谢 Puppet 的 Chris Barker 为我们提供的协助。
python
由衷感谢一位匿名研究人员为我们提供的协助。
VPN
由衷感谢 Second Son Consulting, Inc. 的 Royce Gawron 为我们提供的协助。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。